Les données biométriques : au service d’une authentification forte

Pour accéder à n’importe quel compte, des identifiants et mots de passe sont demandés. Néanmoins, cette simple authentification peut poser des interrogations quant au niveau de sécurité relatif aux informations présentes sur le compte. Plus les données et les fichiers sont importants, plus ils nécessiteront une sécurité forte. 

La mise en place d’une authentification forte 

Une authentification permet d’accéder à des données ou des fichiers grâce à un moyen d’identification. Cette authentification peut évoluer en authentification forte. Celle-ci combine deux facteurs. Ces deux éléments se caractérisent par un mot de passe traditionnel pouvant être robuste, c’est-à-dire difficile à se procurer par quelqu’un.

Le fait d’avoir deux obstacles pour accéder à des informations entraine un renforcement de protection. Celui-ci empêche des cybercriminels d’accéder aux éléments convoités, ou les retarde. L’authentification forte est recommandée pour les données importantes d’un organisme ou d’une entreprise. Ainsi, seules les personnes possédant les deux clés d’authentification peuvent accéder aux données. Cette double protection limite également le nombre de personnes pouvant traiter les données.  

Qu’est-ce qu’une donnée biométrique ? 

Une donnée biométrique peut être utilisée comme second élément lors d’une authentification forte. La biométrique est, selon la CNIL, « l’ensemble des techniques informatiques permettant d’identifier un individu à partir des caractéristiques physiques, biologiques, voire comportementales (empreintes digitales, iris, voix, visage ou même la démarche). »

La biométrie peut être « sans traces » ou « avec traces ». Une biométrie « avec traces » peut entrainer l’identification de la personne à son insu, à cause des caractéristiques qui entraineraient une distinction évidente. Quant à la biométrie « sans traces », elle ne permet pas d’identifier une personne. Par exemple, la reconnaissance vocale ne dispose pas de la technologie nécessaire pour reconnaitre précisément une personne par l’empreinte vocale. Dès lors, la reconnaissance vocale est considérée comme une biométrie « sans traces ». 

L’article 9 du RGPD qualifie les données biométriques comme étant des données sensibles. Ainsi, celles-ci disposent d’un régime de protection particulier. 

Les règles à suivre pour l’utilisation des données biométriques

Avant 2018, toute utilisation de données biométriques nécessitait l’accord préalable de la CNIL. Or, depuis l’entrée en vigueur du RGPD en 2018, cette autorisation préalable a été remplacée par l’accountability.

La CNIL définit l’accountability comme étant « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. » Dès lors, ce sont les responsables de traitement qui se chargent des données biométriques tout en laissant à la CNIL un registre détaillant les mesures prises pour la protection des données. 

Pour mettre en place l’utilisation de données biométriques, les organismes ou entreprises doivent respecter différents critères. 

  • La finalité du dispositif représente la raison pour laquelle les données sont utilisées. Ainsi, l’objectif d’utilisation doit être déterminé, légitime et réduit au nombre de personnes strictement nécessaire. Toute utilisation à des fins contraires à l’intérêt principal est interdite.
  • Les données biométriques seront utilisées en proportion à la finalité déterminée. La proportion est fixée en fonction de l’importance des données protégées. Néanmoins, la biométrie n’est utilisée que si aucune autre alternative ne peut être exécutée. 
  • L’organisme ou entreprise doit prendre les mesures de protections et de garanties nécessaires des données biométriques. Cette sécurité est primordiale protéger l’identité des personnes concernées. 
  • Toute personne, dont les données biométriques sont utilisées, doit être informée personnellement et clairement de ses droits d’opposition, de rétractation, d’accès et de mises en œuvre du dispositif. Si ses droits ne sont pas expliqués, le dispositif devient inopposable. 

En 2019, la CNIL a publié un règlement type « biométrie sur les lieux de travail » pour le traitement des données biométriques afin d’exécuter les principes relatifs à ces données et d’encadrer leurs contrôles de manière sécurisée. Si un organisme ou une entreprise utilise ce règlement, il a une force obligatoire, c’est-à-dire qu’il est opposable en cas d’entrave auprès de tout individu. 

Alexia RIVAUD 

Master 2 Cyberjustice – 2020-2021

Sources : 

« Cyberdroit – le droit à l’épreuve de l’Internet » C. Féral-Schul (édition 2020-2021)

Biométrie sur les lieux de travail : publication d’un règlement type | CNIL

Biométrie | CNIL

Le contrôle d’accès biométrique sur les lieux de travail (cnil.fr)

Délibération n°2019-001 du 10 janvier 2019 portant sur le règlement type relatif à la mise en oeuvre de dispositifs ayant pour finalité le contrôle d’acès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail (cnil.fr)

Laisser un commentaire